■Windowsのログをリモートのsyslogに吐き出す
NTSyslogをダウンロードしてインストールします。
オリジナルはきっとここですね。
http://www.balabit.com/products/syslog_ng/
日本語Windowsだとでんかさんのつくられた日本語版がいいと思います。
http://www.hi-ho.ne.jp/denkas/library/
日本語のメッセージをeucに変換してくれます。
インストール方法はReadmeに書いてあります。とても簡単。
設定もGUIで全部できます。
・Linuxのロギングはklogdとsyslogdというデーモンによって行われている。
・カーネルから上がるメッセージはリングバッファに格納される。
・klogdはリングバッファにマップされている仮想ファイルである
/proc/kmsg経由でカーネルメッセージを抽出する。
・klogdが抽出したメッセージはsyslogdに渡される。
・syslogdはメッセージが持つログレベルと自身の設定によってログに記録する。
そのほか、プログラムの関数openlog(), syslog(), closelog()からはsyslogdにメッセージを送れる。
また、スクリプトからはloggerコマンドでsyslogdにメッセージを送れる。
klogdが動く前のリングバッファ内のメッセージを見るコマンドが $ dmesg である。
■外部からのsyslogを受け取るようにするには?
syslogdに -r オプションをつけて起動する。 RedHatの場合、/etc/sysconfig/syslog ファイルがSYSLOGD_OPTIONS="-x -r -m 0" KLOGD_OPTIONS="-2"となっていればよい。 (-x は、名前引きをしないでアドレスのみ記録するオプション) debianなら、/etc/init.d/syslog内に-rオプションを記述する。
■/etc/syslog.confの設定
基本は[facility].[level] [出力ファイル]と記述する。
左の部分を「セレクタ」、右の部分を「アクション」という。
アクションには「ユーザー」や「@loghost」や「|(パイプ)」も指定可能である。
例えば、/dev/console とやる方法などもある。
# /var/log/messageへの出力 # 全てのfacilityについて、infoを出力するが、 # mail,authpriv,cron についてはここには出力しない、という意味■level*.info;mail.none;authpriv.none;cron.none /var/log/messages
# /var/log/maillogへの出力 # mailについての全てのlevelをmaillogに出力させている
mail.* /var/log/maillog
# emerg(一番危険度が高いレベル)はログインしている全ユーザーの端末に出力する
*.emerg *
none (除外) emerg(panic) (少) alert crit err(error) warning(warn) notice info debug (多)■facility
auth(security) authpriv /var/log/secure cron /var/log/cron daemon kern local0~local7 local7は、/var/log/boot.log lpr mail /var/log/mail news news.critは、/var/log/spooler syslog user uucp /var/log/spooler
